エンジニアストーリー by Qiita
エンジニアストーリー by Qiita
日本最大級のエンジニアコミュニティ、Qiita、プロダクトマネージャーの木尾の俊文です。
この番組では、日本で活躍するエンジニアをゲストに迎え、キャリアやモチベーションの話を深掘りしながら、エンジニアの皆さんに役立つヒントを発信していきます。
今回からのゲストは、Easy Sekiya Solutions取締CTOで、徳丸ひろしさんです。よろしくお願いします。
よろしくお願いします。
はい、よろしくお願いします。
はい、本日ですね、徳丸さんとお送りする1回目のテーマは、Webセキュリティ第一人者の素顔になります。
素顔ですか。
はい、素顔をいろいろお伺いしていきたいなと思ってます。
楽しい感じです。
よろしくお願いします。
よろしくお願いします。
はじめにそしたら、軽く自己紹介もお願いしてもいいですか。
はい、先ほどご案内をやりました、Easy Sekiya Solutionsで取締役CTOをやっている徳丸ひろしです。
前職を2008年の3月末に退職して、自分の会社、ハッシュコンサルティングという会社として作ったんですけれども、
E-ガーディアングループに買収されたというか、ジョインいたしまして、そちらで、最初社長をやっていたんですが、今はCTOということで、主に技術を見ています。
本日はよろしくお願いいたします。
ウェブセキュリティの第一人者の素顔
よろしくお願いします。
はい、徳丸さんといえば、本当にウェブセキュリティの第一人者というか、僕が初めて徳丸さんを知ったときには、
徳丸本の読んだときの著者のところで初めて知るぐらい、最初からセキュリティの方という印象が強かったので、
今日は、そういうセキュリティの第一人者になるまでにどういうことをやっていらっしゃったのかとか、
なんでそんなセキュリティにのめり込んでいるのかみたいなところをいろいろお伺いしていきたいなと思っております。
早速なんですけど、今だと本当に徳丸さんといえばウェブセキュリティの人みたいな印象がすごいあると思うんですけど、
そもそもいつからセキュリティとかってやっていらっしゃるんですか?
はい、前職でアプリケーション開発とか、アプリケーションの企画などを担当していたんですが、
1999年という前のことによりますが、当時iモードっていうのがあったんですね。
携帯向けウェブサービス、これドコモさんがやっていたと。
ドコモ以外にKDDI、AUとソフトバンクがあったわけですけども、対向サービスを出さなければいけないということで、
私はKDDI陣営の会社にいたんですね。
KDDIそのものではないですが。
で、iモードの肝はですね、パスワードとかなくても携帯を持っていれば認証ができて、
課金までできる、コンテンツ課金ができるっていうところが肝だったんで、
それはですね、私の前職の会社がそういうサーバーを担当するようになったと。
で、認証システムを徳丸アイデアを出せということになったんです。
ということでですね、元は携帯の認証というところから始めたんですね。
そうなんですね。
最初からセキュリティ系のお仕事をしてらっしゃったというより、最初は企画系とかそっちのほうをメインでやってらっしゃった?
もともとはプログラマーだったんですけども、いろんなアイデアを出せるとかですね、
自分が作ったソフトウェアを商品として売ろうということになって、それで企画研開発担当みたいな感じになってたんですね。
そうなんですね。
で、私のルーツはですからプログラマーなんですね、元はといえばですね。
話戻しますが、ドコモさんの仕組みは当時あまりよく知らなかったんですけど、
リバースプロキシというんですが、ゲートウェイがあって全ての通信がそこを通ると。
そこを通る中で認証をするという集中型のシステムだったんですが、
ちょっといろいろ事情があってですね、ゲートウェイと認証サーバーを分けなきゃいけないという。
分散システムになったんですね。
で、私当時考えまして、認証サーバーと、あとコンテンツもありますから。
認証サーバーとコンテンツのサーバーとゲートウェイを行ったり来たりリダイレクトしながら、
ちょっと暗号化された情報を持ち回ればいいよねということでアイディアを出して、
今でいうとオーオースとかオープンIDコネクトのやり方に似てるんですが、
今から20何年前ですか、25年ぐらい前にそういうものをレッチ上げまして。
そうなんですね。
で、提案して受け入れられたので、その方式が採用されたということになります。
セキュリティにのめり込むきっかけ
おかげさまでですね、当時私実はセキュリティのこと何にも知らなかったんですけども。
そうなんですね、本当に知らないところでやってらっしゃったんですね。
恐ろしいことですね。
ですが、実は1回も事故を起こすことなくですね、
役目を終えたということで非常にほっとしているということなんですね。
1999年というとですね、私だけでなくて日本中のほとんどの人がウェブのセキュリティのことは知らない。
一部の研究者が知っている、あるいは海外の文献で読んでいるような状態だったと思います。
そんな中でも、おそまきながらですね、作りながらですね、
セキュリティの勉強を始めたというのがきっかけですね。
そっか、確かに1990年代とかだと、そもそもセキュリティというものに対しての重要さみたいなのは今と全然違いそうですよね。
そうですね。
日本で最初の大きなセキュリティ事件というのは、2000年の初めに当時通算省とか今の経産省とかですね、
ウェブサイトが改ざんされるという事件があって、それがことを始めて、ちょうど私がさっきの仕事をやっていた頃と重なるんですが、
ですからまさにセキュリティが重要になるという、ちょうどそのタイミングだったんだと思います。
なるほど。でもちょうど、どんどんセキュリティ大事だねっていう繊維をしていく過渡期のタイミングで、
セキュリティに触れてそこをやっていくっていうような感じで今まで来てらっしゃる。
そうですね。ですからある意味運が良くて、セキュリティの歴史とともに仕事の中でそういうことをやってきたということで、
今からセキュリティをやる人とはそこはちょっと立場が違うかなと思いますね。
なんかその時も、結構プログラマーとしてアプリケーション開発とか企画とかもやってらっしゃったと思うんですけど、
その中でやった一つであるセキュリティのところに対してのめり込んでいった理由って何なんですかね。
セキュリティというと、ハッキングとかクラッキングとかに侵入というのがありますが、
その中でよく使われる手法としてソフトウェアの脆弱性を悪用するという。
脆弱性というのは要はバグなんですが、見方を変えるとですね、
本来ソフトウェアが想定していない別の使い方ができるというのが脆弱性なんですね。
もっというとですね、あんなことやこんなことをするというステップが入るんで、
実はプログラミングと非常に近いメンタリティと言いますか、面白さがありまして、
厳に攻撃の過程で自分でソフトウェアを書いたりしないといけない。
例えばSQLインジェクションだったらSQLの断片を自分で書いてですね、
上手く条件に合うSQL文を作らなきゃいけないとか、そういうのがあります。
ですからプログラミングですごい、例えば競技プログラミングとかですね、
そういうのをやっている人はソフトウェアのセキュリティも向いているんじゃないかと思いますね。
なるほど、結構そこら辺をいわゆるハックしていくというか、
想定通りの動きじゃないところを上手く使っていくところのいわゆるクリエイティビティみたいなのが発揮しやすいみたいな。
そうなんです。
そういう面白さがあるってことですね。
私自身は競技プログラミングはやっていないんですが、
競技プログラミングとソフトウェアのセキュリティ両方やっているという方が多いので、
やっぱり共通する要素があるんじゃないかと思いますね。
なるほど、ありがとうございます。
そこから今20数年ぐらいセキュリティやっていらっしゃると思うんですけど、
その中でこのタイミング違うことをやっていたとか、
セキュリティ以外のこともかじっていましたみたいなのってあったりするんですか?
それがさっきの話が1999年から2000年の話なんですが、
当時私はパッケージソフト開発の企画を、そちらが本業でして、
当時事業部長という立場で、結構上位のマネジメントだったわけです。
ですから仕事はマネージャーなんですね。
管理職なんです。
そうなんですね。
なんですが、年からのプログラマーなもんですから、
ソフト書きたいなとかですね。
積極性面白いなというのがあってですね。
ただ当時まだセキュリティの市場みたいなのがあまりなくてですね。
ちょっと様子見てたんですが、
私の部下がですね、
セキュリティ事業の立ち上げとブログの始め
ちょっと企画コンテストみたいな、社内のですね、企画コンテストみたいなんで、
ウェブのセキュリティやりましょうみたいな発表をしてですね、
金賞を取っちゃったんですよ。
そうするとですね、そういう若者の企画とか、
そういうのは尊重しようという文化があったんで、
それを事業化しろということになりましてですね。
私がお森役として、
彼ですね、
2人でですね、
セキュリティ事業を立ち上げたのが2004年ぐらいでしたかね。
だったんです。
当時私京都にいたんですけども、
京都でしばらくやって、これはダメだということになって、
ちょっと東京に転勤させてくれて、
社長に直談判しまして、
で、東京に転勤になると。
で、セキュリティ事業もやらせてあげると。
その代わり、別のこの事業部の事業部長をやれということで、
ちょっとバーターでですね、東京へ引っ越してきて、
それが2005年ぐらいですかね。
本格的にやるようになったという流れですね。
そうなんですね。
じゃあ2005年までは結構もうマネジメントとかもやりつつ、
セキュリティとかも触っているぐらいの感じだったんですね。
そうですね。
2005年から2008年、ちょっと独立する手前ぐらいまでがそうですね。
独立されたのが2008年ぐらいですかね。
2008年の4月ですね。
そうなんですね。
じゃあ本当に10年ぐらいは結構、
本業のところをやりながら、
セキュリティのところもキャッチアップしつつ、
みたいな感じだったんですね。
ですから、私が2005年に引っ越してから、
しばらくしてたってから、
ブログを書き始めたんですが、
ブログを書くっていうのは、
8時か9時ぐらいに帰ってきて、
食事してからブログを書くみたいな生活を送っていまして、
ちょっとこれはやっとれるなということですね。
俺はこっちのほうがしたいんだみたいなことに、
ちょっと無理を言ってですね、
退職して独立したという流れですね。
そうなんですね。
やっぱり独立って結構あるあるだと思うんですけど、
独立してから最初の仕事を取りに行くとか、
いろいろうまく回り始めるまで、
いろいろ難しいところってあったりすると思うんですけど、
ありますね。
徳村さんは始めたタイミングって、
セキュリティみたいなところで、
既にいろいろ案件とかもらえたりとか、
そういう感じだったんですか?
いや、それはね、全然ないんですよ。
そうなんですね。
ないんで、
独立と本の出版
辞めるときに、
当時の直属の上司がですね、
実は私の家内を紹介してくれた人でもあるんですが、
いや徳ちゃんね、徳ちゃんって呼ばれたんですけど、
徳ちゃんね、いきなり独立しても仕事なんかないから、
我が社に顧問として残んなよということで、
週2回はですね、
顧問として、
顧問として通いつつですね、
残りの時間は自分のことをしていた生活で、
だから正直最初は暇でしたね。
そうなんですね。
じゃあ本当にそこを独立はしつつ、
顧問としてもともといたところもやりつつ。
そうですね。
あと顧問とは別に仕事もらったりして、
これは結構あるあるみたいですけど、
全職との関係、
割と大事で、
たまに喧嘩別れみたいに出てくる人いますけど、
それは危険ですよね。
結構今までの方もお話ししている中で、
そういう感じの方いらっしゃいましたね。
そう思います。
そうなんですね。
そこら辺からだんだんだんだん独立して、
やっている方が回り始めたのって、
天気とかってあったりしたんですか?
一番の天気はやっぱ本じゃないですかね。
そこで本が出てくるんですね。
はいはいはい。
ちょっと本の執筆の流れとかは、
またこの後お伺いしていきたいなと思うので、
ぜひそこら辺はまた詳しくお伺いできたらなと思うんですけど、
本を書くきっかけになったのってどういう感じだったんですか?
本を書くきっかけはですね、
これ私だけじゃないと思うんですけど、
やっぱり出版社の編集者はですね、
ブログとか見てるんですね。
本を書きそうな人探してるみたいで、
私の場合もまさにそれだったと思います。
あ、そうなんですね。
アウトプットしてるところから声をかけてもらってみたいな感じだと。
そうですね。
今までの方もそういうパターンで本出版されてる方多かったので、
やっぱ日々アウトプットし続けることがやっぱり大事なのかなっていうのは。
そうですね。
本を書くことが目的ではないですけど、
ちゃんと見てくれてる人は見てくれてると。
そうなんですね。
本を書いたことで何て言うんですかね、変わったことってありました?
それまでは一部のセキュリティ専門家が徳丸っていう人を知ってるということだったんですが、
正直商売とかする上ではですね、そういう人からは仕事来ないわけですね。
それは足りてるしみたいなことになって。
多くの方にリーチする手段としてはやっぱ本っていうのは絶大ですし、
ちょうどですね、
2011年の3月ちょうど東日本大震災の直前に出たんですが、
当時こわいダンさんという方がすごい著名なブロガーで、
手表を毎日のように書いていて、
その中でダンさんが絶賛してくださったんで、
それで売れたみたいなそういうラッキーな面もあります。
本当にセキュリティ勉強しようと思ったら、
今は徳丸さんのセキュリティウェブアプリケーションのセキュリティの本を読むみたいな感じがやっぱり日々、
僕もエンジニアとして業務してたりするタイミングもあるんですけど、そこなんですね。
だから今は、聞いたのカンファレンスの自己紹介もそう書いてますけど、
徳丸本の中の人です、みたいな。
そっちがメイン。
そうですね。
ちょっと話題変えちゃうんですけど、
今お話伺ったところってどっちかというと、
お仕事始めてからのところだと思います。
だからそもそもお仕事始める前、
いわゆる学生時代というか、
その学生時代ってどういう感じの学生だったというか、
日々を過ごしてたかというか。
私、鹿児島県で高校まで過ごしまして、
鹿児島なんですね。
東京の大学に受かったんで、東京に出てきたんですが、
ちょっといろいろ、
高校までは優秀な学生だったんですけど、
たぶん燃え尽きたみたいになっちゃってですね。
ちょっと大学に行けなくなっちゃったんですね。
ですから、
そうなんですね。
当時、自分の好きな音楽で合唱団に入ってて、
そっちはわりと熱心に通ってたんですけど、
勉学のほうはですね、ちょっとうまくいかないで、
中退してしまいまして。
そうなんですね。
で、アルバイトを二つやってですね。
一つが、
慶応電鉄で、
中摺広告ってありますよね。
今は電子化されつつありますけど、
電車の中でピラピラの広告がありますが、
あれは朝、つける作業のアルバイトですね。
それと夜はお決まりの塾講師をやってまして、
だから朝は中摺広告摺り。
で、夜は塾の先生ということで、
結構ですね。
全然想像できないですね。
熱心に働いたんです。
そうなんですね。
朝、夜働いてました。
プログラミングの始まり
最初のキャリアってプログラマーだと思うんですけど、
プログラミングってどう勉強してらっしゃったんですか。
プログラミングはもともと興味があってですね、
高校にですね、
オリベッティってイタリアの会社があるんですが、
そこがですね、
パーソナルコンピューターがまだ出る前の時代で、
超大型の電卓みたいなですね、
簡単なプログラムができる、
電卓といっても机を占有するような大きさなんですけども、
それで簡単な機械語ライクな言語が走ってですね、
それで遊んでたりしたんですが。
高校時代からやってらっしゃったんですね。
そうですね。
でもそれは演習率計算するとか非常に素朴なもので、
さっき朝、夜働いてたと言いましたが、
それでお金を貯めてですね、
パソコンを買ったんですよ。
これがPC8801M2で、
フロッピーディスクはちょっと高いんで、
フルで2台なんですが、1台だけに採取してですね、
初めてのプログラミング
あとプリンターも買ってですね、
トータル50万ぐらいしたんですが、
覚えてます。吉祥寺のラウックスに行って買ったんですけども。
それでプログラミングやりだしたらですね、
ちょっとのめり込んでしまいましてですね。
で、当時C言語が流行り始めの頃で、
C言語できます中で、
ちょっと就職活動を始めようとしたところに、
ちょうど高校の同級生から電話がかかってきてですね、
どうしてるの?みたいな話でですね、
いやちょっと大学は辞めたけど今プログラミングの勉強してるとか話をしたら、
じゃあお前親父の会社に入れみたいなことを言われましてですね、
それが教セラーなんですが、
そうなんですね。
おじいさんが当時工場長をしていて、
そのつてで要は遠古入社ですね。
遠古入社で教セラーに入ったという感じです。
そうなんですね。
すごい面白いです。
教セラーでのプログラミング学習
なんか当時のプログラミングって、
コンピューター買ったと思うんですけど、
まだインターネットに情報がいっぱいあるとかではないと思って、
その当時の読学というか、
勉強していくってどういう感じで勉強してらっしゃったんですか?
主に本ですね。
しかもですね、会社が鹿児島の工場に最初勤めていたので、
本屋に行ってもですね、コンピューター関係の専門書なんかないんですよ。
確かに。
ですから東京に出張に行くたびにですね、
大きな本屋さんに行って、本を漁ってですね、
で仕入れて帰ってくるみたいな生活でしたね。
本は随分読みました。
そうなんですね。今からだと全然想像できない感じですね。
そうですね。しかもですね、教えてくれる人はいないんですよ。
確かに。そうですね。
だから本当に読学なんですね。
で、職場は先輩のプログラマーいるんですけど、
当時フォートランという、コボルト並び使用される古い会社で、
あまり最先端のことをやっている人がいなくてですね、
本を読みながらいろいろ試すと、試行錯誤の毎日でしたね。
僕自身がプログラミングを始めた時はもう本当に本もいっぱいあるし、
インターネットに情報もいっぱいあるみたいな時代だったので。
それこそ聞いたとかですね。
そうですね。まさに聞いたで僕は育ってきたような感じなので。
いやでもそれってやっぱりそういう独学でやり続けた先人の知恵が、
やっぱり残されているからこそだと思うんで。
いやありがたいなって思いますね今。
独学は回り道みたいな面ももちろんあるんですね。
むやめに時間がかかるんですが。
でもいいこともありまして、ちょっとやっぱりパッとはわからないわけですね。
パッとはわからないんだけど、これはこういうことなんじゃないかという仮説を立てまして、
その仮説を証明するためのいろいろプログラムを追加で作ってみるとかですね。
試すんですね。
ですから全部教えてもらうんじゃなくて、
仮説を立ててそれを検証するための何をやったらいいかっていうのを考えて、
それを実際に手を動かして調べるっていうのをすごく習慣として身につけることができまして、
これは実は今でもやってまして、
回り道したようだったけど、今の徳丸を考える上では非常に役に立っていると思います。
ありがとうございます。
なるほど。
なんかすごい今回、もう本当に徳丸さんって僕の中ではセキュリティのスペシャリストみたいな印象があったんですけど、
今いろいろお話を伺って、
なんかすごいやっぱり同じようにいろいろやりながら、
努力しながらここまで来てらっしゃるんだなっていうのをすごい感じたので、
すごい面白かったです。ありがとうございます。
はい、徳丸さん今日はありがとうございました。
まだまだですね、お話ししたりないので次回も徳丸さんとお送りします。
今回はですね、徳丸さんの素顔っていうところで、
普段あんまり聞いたことないところのお話とかいろいろお伺いしてきました。
なんかやっぱり僕の中では徳丸さん本当にもうセキュリティの人みたいな第一人者っていう印象があったんですけど、
やっぱりいろいろお話を伺ってみると、
やっぱり同じようにいろいろ努力しながらここまで来てらっしゃるんだなっていうのをすごい感じました。
はい、さてこの番組では感想や質問、リクエストなどお待ちしております。
番組詳細欄にあるリンクよりお気軽にご投稿ください。
Xではハッシュタグエンジニアストーリーをつけてポストしてください。
そしてApple PodcastやSpotifyのPodcastではレビューもできますので、
こちらにも感想を書いてもらえると嬉しいです。
Kiita株式会社はエンジニアを最高に幸せにするというミッションのもと、
エンジニアに関する知識を広く共有するためのサービスKiita、
エンジニアと企業のマッチングサービスKiitaJobs、
社内向け情報共有サービスKiitaチームを運営しています。
ぜひカタカナでKiitaと検索してチェックしてみてください。
お相手はKiitaプロダクトマネージャーのKiioの俊文でした。
